Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ hatasını düzenlemektedir. Bilgisayar korsanları, Yemeksepeti’nin datalarına erişim sağlayarak onlara ilişkin bilişim sistemlerine giriş sağlamıştır. Bu cürmün cezası ‘bir yıla kadar mahpus yahut isimli para cezasıdır. Bu aksiyon gerçekleştirilirken Yemeksepeti’ne ilişkin bilişim sistemlerinde bilgilerin yok olması yahut değiştirilmesi üzere bir hareket de gerçekleştirilmişse ilgili unsurun ikinci fıkrasında düzenlenen kabahat gerçekleşmiş olmakla bu sefer ‘altı aydan iki yıla kadar mahpus cezası’ ile karşı karşıya kalınacaktır.
Bilgisayar Korsanları ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soy isim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin bilgilerin olduğunu, dataların Kasım ayı itibariyle yeni datalar olduğunu sav ediyorlar. Bu bilgisayar korsanlığı sonucu elde edildiği tez olunan bilgiler ile internette paylaşılan 20 bin şahsa ilişkin datalar de göz önüne alındığında ayrıyeten TCK’nın 134. hususunda düzenlenen “özel hayatın kapalılığını ihlal” kabahati, TCK’nın 135. hususunda düzenlenen “kişisel dataların kaydedilmesi” cürmü, TCK’nın 136. unsurunda düzenlenen “verileri hukuka alışılmamış olarak verme yahut ele geçirme” cürümlerinin da gerçekleşmiş olma ihtimali de yüksektir. Bu türlü bir durumda yürürlükteki ceza kanunumuzda düzenlenen zincirleme kabahat ve fikri içtima unsurları kapsamında her bir hatadan farklı ayrı ceza vermek yahut tek bir cürümden ceza verip bu cezayı artırma durumları da sِöz konusu olabilir.
Başlamadan evvel mevzuyu tüm ayrıntıları ile açıkladığımız şu görüntüyü izlemenizi tavsiye ederiz:
Bu dataların sızdırılmasında Yemeksepeti’nin sorumluluğu var mı?
Yemeksepeti örneğine benzeri formda siber atağa uğrayan data sorumlularının yükümlülükleri 6698 Sayılı Şahsî Dataların Korunması Kanununda (KVKK) düzenlenmektedir. Ferdî dataların güvenliğini muhafaza yükümlülüğü KVKK’nın 12. hususunda düzenlenmiştir. İlgili unsura nazaran gerçek yahut hukukî kişi data sorumluluları ferdî bilgilere hukuka alışılmamış olarak erişilmesini önlemek, şahsî dataların korumasını sağlamak emelleriyle bünyelerinde uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri almak zorundadır.
Sızdırılan bilgiler sebebiyle Yemeksepeti hangi yaptırımlarla karşı karşıya kalabilir ?
Şahsî Dataları Müdafaa Heyeti, 21 milyon 504 bin 83 kişinin etkilendiği belirtilen Yemeksepeti’nin birinci siber saldırısının akabinde bilgi ihlali gerekçesiyle 29 Mart 2021’de de inceleme başlatmıştı. Lakin bilgisayar korsanları tarafından Yemeksepeti’nden fidye talep edildiği, bunun yerine getirilmediği için 20 bin kullanıcının şahsî bilgilerinin paylaşıldığı istikametindeki haberler üzerine heyet 29/11/2021 tarihinde yaptığı açıklama ile re’sen soruşturma başlattığını duyurdu.
Heyet tarafından yapılacak inceleme sonucu argümanların gerçek çıkması halinde KVKK’nın 18. unsuru uyarınca data sorumlusu olarak KVKK’nın 12. unsurunda yer alan uygun güvenlik seviyesini temin etmeyi ihlalinden dolayı 2021 yılı için 29.503 ₺ ile 1.966.862 ₺ ortasında bir ceza ile karşı karşıya kalacaktır. Ferdî Dataları Müdafaa Kurulu’nun daha evvel Facebook için vermiş olduğu ceza dikkate alındığında ferdî bilgilerin büyüklüğü ve etkilenen insan sayısının fazlalığı konuları da dikkate alındığında inceleme sonucu şayet argümanlar yanlışsız çıkarsa verilebilecek azamî ceza üst hudut olan 1.966.862 ₺ olabilecektir. Ayrıyeten Yemeksepeti tarafından yapılan “herhangi bir data hırsızlığının tespit edilemediği” istikametindeki açıklaması da dikkate alındığında inceleme sonucunda şayet data hırsızlığına ait tespitlere varılırsa KVKK’nın 12. unsurunun 5. fıkrasında yer alan bilgi ihlalini en kısa müddette kuruma bildirim yükümlülüğünü yerine getirmemesinden ötürü farklı bir ceza daha verilebilecektir.
Sızdırılan Bilgiler Nasıl Kullanılabilir?
Bilgisayar korsanları tarafından ele geçirilen dataların öncelikli kullanım alanı reklam ve pazarlama faaliyetlerinde gerçekleştiriliyor. Lakin sızdırılan bilgi kategorilerini ele aldığımızda bireyler ismine düzmece kimlikler oluşturulup kredi çekilme, şirket kurma, telefon sınırı alma ve ziyanlı yazılımlar ile şantaj üzere aksiyonlarla karşı karşıya kalınması ihtimali mümkün.
Son periyotlarda sıklıkla artan dolandırıcılık faaliyetlerine de bu bilgiler kullanılabilecektir. Son olarak yeniden son devirde ortaya çıkan şahısların, kapıda ödemeli kargoyu teslim almadığından ötürü borcu olduğunu sav eden dolandırıcılık faaliyetlerinde de tekrar bu sızdırılan datalar kullanılabilecektir. Bu sebeple bireylerin dikkatli olması gerekmektedir.
Yemeksepeti data ihlalinden etkilenen bireyler hangi türel yollara başvurabilir? Öncelikle bilgileri işlenen bireyler 6698 sayılı Ferdî Bilgilerin Korunması Kanunu 11. unsuru kapsamında data sorumlusuna yani datalarınızı işleyen gerçek yahut hukukî bireye müracaat hakkı bulunmaktadır. Bireyler bilgi sorumlusuna başvurarak şu soruları yahut talepleri yöneltebileceltir:
- Ferdî dataların işlenip işlenmediğini, hangi dataların, ne formda, ne gayeyle işlendiğini, şahsî dataların gayeye uygun kullanılıp kullanılmadığını sorma
- Ferdî dataların kimlere aktarıldığını, bu datalar üzerinde değişiklik yapılması ve aktarılan şahıslara değişikliğin bildirilmesi
- Ferdî bilgilerin silinmesi, yok edilmesi, bu durumun bilgilerin aktarıldığı şahıslara bildirilmesi
- Data işlemenin kişi için olumsuz bir sonuç doğurduğu durumlara itiraz etme
- Ferdî bilgilerin hukuka ters olarak işlenmesi – tasarrufta bulunulması halinde zararın giderilmesi
Bu soru yahut taleplerle bilgi sorumlusuna fiyatsız olarak başvurulabilir. Data sorumlusunun kendisine gelen başvuruyu yanıtlandırmak için 30 günlük müddeti bulunmaktadır. En geç 30 günün sonunda bilgi sorumlusu başvuruyu yanıtlandırır yahut karşılıksız bırakabilir. Şayet karşılıksız bırakırsa bu sefer müracaatçının Şahsî Bilgilerin Korunması Heyetine şikayet hakkı doğmaktadır. Bilgi sorumlusunun verdiği cevap bir formda başvurucuyu tatmin etmezse yeniden Konseye müracaat hakkı bulunmaktadır. Lakin Yemeksepeti data ihlalinde konsey tarafından re’sen soruşturma başlatıldığı için bu etapta esasen heyet tarafından devam eden bir inceleme süreci bulunmaktadır.
Öbür bir yol ise genel mahkemelerde tazminat yoludur. Şahsî Dataları Müdafaa Heyetinin 16/01/2020 tarihli 2020/41 karar numaralı kararında da vurguladığı üzere şahıslar; ferdî bilgilerinin ihlalinden ötürü ziyana uğradığı ve buna yönelik bir tazminat talebi kelam hususuysa, KVKK’nın 14’üncü unsurunun (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel kararlara nazaran tazminat hakkı gizlidir.” kararı çerçevesinde, tazminat taleplerini genel mahkemeler huzurunda kullanabilecektir. Yani dataları ihlal edilen şahıslar bu ihlal sonucu kişi, uğradığı maddi ve manevi ziyanına yönelik olarak genel mahkemelerde tazminat davası açabilecektir.